De aan Noord-Korea gelieerde bedreigingsacteur, bekend als Lazarus Group, gebruikte zijn beproefde, verzonnen werklokmiddelen om een nieuwe trojan voor externe toegang te leveren, genaamd Kaolien RAT.
De malware zou, naast de standaard RAT-functionaliteit, de laatste schrijftijdstempel van een geselecteerd bestand kunnen wijzigen en elk ontvangen DLL-binair bestand kunnen laden van [command-and-control] server”, zei Avast-beveiligingsonderzoeker Luigino Camastra in een vorige week gepubliceerd rapport.
De RAT fungeert als een pad om de FudModule-rootkit af te leveren, die onlangs is waargenomen door gebruik te maken van een nu gepatchte beheerder-naar-kernel-exploit in het appid.sys-stuurprogramma (CVE-2024-21338, CVSS-score: 7,8) om een kernel te verkrijgen lezen/schrijven primitief en uiteindelijk beveiligingsmechanismen uitschakelen.
Het gebruik van lokmiddelen door de Lazarus Groep om doelwitten te infiltreren is niet nieuw. De langlopende campagne, genaamd Operation Dream Job, heeft een trackrecord in het gebruik van verschillende sociale media en instant messaging-platforms om malware te verspreiden.
Deze initiële toegangsvectoren misleiden doelen om een kwaadaardig ISO-bestand (optische schijf) te lanceren met daarin drie bestanden, waarvan er één zich voordoet als een Amazon VNC-client (“AmazonVNC.exe”) die in werkelijkheid een hernoemde versie is van een legitiem Windows-bestand. toepassing genaamd “choice.exe.”
De twee andere bestanden heten “version.dll” en “aws.cfg.” Het uitvoerbare bestand “AmazonVNC.exe” wordt gebruikt om “version.dll” te sideloaden, wat op zijn beurt een IExpress.exe-proces voortbrengt en daarin een payload injecteert die zich in “aws.cfg” bevindt.
De payload is ontworpen om shellcode te downloaden van een command-and-control (C2) domein (“henraux[.]com”), waarvan wordt vermoed dat het een echte maar gehackte website is van een Italiaans bedrijf dat gespecialiseerd is in het opgraven en verwerken van marmer en graniet.
Hoewel de exacte aard van de shellcode onduidelijk is, wordt er gezegd dat deze wordt gebruikt om RollFling te starten, een op DLL gebaseerde lader die dient voor het ophalen en starten van de volgende fase-malware genaamd RollSling, die vorig jaar door Microsoft werd onthuld in verband met een Lazarus-aanval. Groepscampagne die gebruik maakt van een kritieke JetBrains TeamCity-fout (CVE-2023-42793, CVSS-score: 9,8).
RollSling, dat rechtstreeks in het geheugen wordt uitgevoerd in een waarschijnlijke poging om detectie door de beveiligingssoftware te omzeilen, vertegenwoordigt de volgende fase van de infectieprocedure. De primaire functie ervan is het activeren van de uitvoering van een derde lader genaamd RollMid, die ook in het systeemgeheugen wordt uitgevoerd.
RollMid is uitgerust met mogelijkheden om de aanval te voorbereiden en contact te leggen met een C2-server, wat een op zichzelf staand proces in drie fasen omvat:
- Communiceer met de eerste C2-server om een HTML op te halen met het adres van de tweede C2-server
- Communiceer met de tweede C2-server om een PNG-afbeelding op te halen waarin een kwaadaardig onderdeel is ingesloten met behulp van een techniek die steganografie wordt genoemd
- Verzend gegevens naar de derde C2-server met behulp van het adres dat is opgegeven in de verborgen gegevens in de afbeelding
- Haal een extra Base64-gecodeerde datablob op van de derde C2-server, de Kaolin RAT
De technische verfijning achter de uit meerdere fasen bestaande reeks, hoewel ongetwijfeld complex en ingewikkeld, grenst aan overkill, meende Avast, waarbij de Kaolin RAT de weg vrijmaakt voor de inzet van de FudModule-rootkit na het opzetten van communicatie met de C2-server van de RAT.
Bovendien is de malware uitgerust om bestanden op te sommen; bestandsbewerkingen uitvoeren; bestanden uploaden naar de C2-server; de laatst gewijzigde tijdstempel van een bestand wijzigen; processen opsommen, creëren en beëindigen; voer opdrachten uit met cmd.exe; download DLL-bestanden van de C2-server; en verbinding maken met een willekeurige host.
“De Lazarus-groep richtte zich op individuen via verzonnen vacatures en gebruikte een geavanceerde toolset om meer doorzettingsvermogen te bereiken en tegelijkertijd beveiligingsproducten te omzeilen”, aldus Camastra.
“Het is duidelijk dat ze aanzienlijke middelen hebben geïnvesteerd in de ontwikkeling van zo’n complexe aanvalsketen. Wat zeker is, is dat Lazarus voortdurend moest innoveren en enorme middelen moest toewijzen om verschillende aspecten van Windows-mitigaties en beveiligingsproducten te onderzoeken. Hun vermogen om zich aan te passen en te evolueren vormt een aanzienlijke uitdaging voor de inspanningen op het gebied van cyberbeveiliging.”